Компьютерная преступность и компьютерная безопасность

Шифрование данных традиционно использовалось правительственными и оборонными департаментами, но в  связи с изменением потребностей и некоторые наиболее солидные компании начинают использовать возможности, предоставляемые  шифрованием для обеспечения  конфиденциальности информации.

Финансовые службы компаний (прежде всего в США) представляют важную и большую пользовательскую базу и часто специфические требования предъявляются к алгоритму, используемому  в процессе шифрования. Опубликованные алгоритмы, например DES (см. ниже) , являются обязательными. В то же время, рынок коммерческих систем не всегда требует такой строгой защиты, как правительственные или оборонные ведомства, поэтому возможно применение продуктов и другого типа, например PGP (Pretty Good Privacy) .

Шифрование 

Шифрование данных может осуществляться в режимах  On-line (в темпе поступления информации) и Off-line (автономном) . Остановимся подробнее на первом типе, представляющем большой интерес. Наиболее распространены два алгоритма.

Стандарт шифрования данных DES (Data Encryption Standart) был разработан фирмой IBM в начале 70-х годов и в настоящее время является правительственным стандартом для шифрования цифровой информации. Он рекомендован Ассоциацией Американских Банкиров. Сложный алгоритм DES использует ключ длиной 56 бит и 8 битов проверки на четность и требует от злоумышленника перебора 72 квадрилионов возможных ключевых комбинаций, обеспечивая высокую степень защиты при небольших расходах. При частой смене ключей алгоритм удовлетворительно решает проблему превращения конфиденциальной информации в недоступную.

Алгоритм RSA был изобретен  Ривестом, Шамиром и Альдеманом в 1976 году и представляет собой значительный шаг в криптографии. Этот алгоритм также был принят в качестве стандарта Национальным Бюро Стандартов.

DES, технически является  СИММЕТРИЧНЫМ алгоритмом, а RSA - - АСИММЕТРИЧНЫМ, то есть он использует  разные ключи при шифровании  и дешифровании. Пользователи имеют  два ключа и могут широко  распространять свой открытый  ключ. Открытый ключ используется  для шифрованием сообщения пользователем, но только определенный получатель может дешифровать его своим секретным ключом; открытый ключ бесполезен для дешифрования. Это делает ненужными секретные соглашения о передаче ключей между корреспондентами. DES определяет длину данных и ключа в битах, а RSA может быть реализован при любой длине ключа. Чем длиннее ключ, тем выше уровень безопасности (но становится длительнее и процесс шифрования и дешифрования) . Если ключи DES можно сгенерировать за микросекунды, то примерное время генерации ключа RSA - десятки секунд. Поэтому открытые ключи RSA предпочитают разработчики программных средств, а секретные ключи DES - разработчики аппаратуры.

Физическая защита данных Кабельная система Кабельная  система остается главной “ахилессовой пятой” большинства локальных вычислительных сетей: по данным различных исследований, именно кабельная система является причиной более чем половины всех отказов сети. В связи с этим кабельной системе должно уделяться особое внимание с самого момента проектирования сети.

Наилучшим образом  избавить себя от “головной боли”  по поводу неправильной прокладки кабеля является использование получивших широкое распространение в последнее  время так называемых структурированных  кабельных систем, использующих одинаковые кабели для передачи данных в локальной  вычислительной сети, локальной телефонной сети, передачи видеоинформации или  сигналов от датчиков пожарной безопасности или охранных систем. К структурированным  кабельным системам относятся, например, SYSTIMAX SCS фирмы AT&T, OPEN DECconnect компании Digital, кабельная система корпорации IBM.

Понятие “структурированность”  означает, что кабельную систему  здания можно разделить на несколько  уровней в зависимости от назначения и месторасположения компонентов  кабельной системы. Например, кабельная  система SYSTIMAX SCS состоит из: Внешней подсистемы (campus subsystem) - Аппаратных (equipment room) - Административной подсистемы (administrative subsystem) - Магистрали (backbone cabling) - Горизонтальной подсистемы (horizontal subsystem) - Рабочих мест (work location subsystem) Внешняя подсистема состоит из медного оптоволоконного кабеля, устройств электрической защиты и заземления и связывает коммуникационную и обрабатывающую аппаратуру в здании (или комплексе зданий) . Кроме того, в эту подсистему входят устройства сопряжения внешних кабельных линий и внутренними.

Аппаратные служат для размещения различного коммуникационного  оборудования, предназначенного для  обеспечения работы административной подсистемы.

Административная  подсистема предназначена для быстрого и легкого управления кабельной  системы SYSTIMAX SCS при изменении планов размещения персонала и отделов. В ее состав входят кабельная система (неэкранированная витая пара и оптоволокно) , устройства коммутации и сопряжения магистрали и горизонтальной подсистемы, соединительные шнуры, маркировочные средства и т.д.

Магистраль состоит  из медного кабеля или комбинации медного и оптоволоконного кабеля и вспомогательного оборудования. Она  связывает между собой этажи  здания или большие площади одного и того же этажа.

Горизонтальная система  на базе витого медного кабеля расширяет  основную магистраль от входных точек  административной системы этажа  к розеткам на рабочем месте.

И, наконец, оборудование рабочих мест включает в себя соединительные шнуры, адаптеры, устройства сопряжения и обеспечивает механическое и электрическое соединение между оборудованием рабочего места и горизонтальной кабельной подсистемы.

Наилучшим способом защиты кабеля от физических (а иногда и температурных и химических воздействий, например, в производственных цехах) является прокладка кабелей  с использованием в различной  степени защищенных коробов. При  прокладке сетевого кабеля вблизи источников электромагнитного излучения необходимо выполнять следующие требования: а) неэкранированная витая пара должна отстоять минимум на 15-30 см от электрического кабеля, розеток, трансформаторов и  т.д.

б) требования к коаксиальному  кабелю менее жесткие - расстояние до электрической линии или электроприборов  должно быть не менее 10-15 см.

Другая важная проблема правильной инсталляции и безотказной  работы кабельной системы - соответствие всех ее компонентов требованиям  международных стандартов.

Наибольшее распространение  в настоящее время получили следующие  стандарты кабельных систем: Спецификации корпорации IBM, которые предусматривают  девять различных типов кабелей. Наиболее распространенным среди них  является кабель IBM type 1 - - экранированная витая пара (STP) для сетей Token Ring.

Система категорий  Underwriters Labs (UL) представлена этой лабораторией совместно с корпорацией Anixter. Система включает пять уровней кабелей. В настоящее время система UL приведена в соответствие с системой категорий EIA/TIA.

Стандарт EIA/TIA 568 был  разработан совместными усилиями UL, American National Standarts Institute (ANSI) и Electronic Industry Association/Telecommunications Industry Association, подгруппой TR41.8.1 для кабельных систем на витой паре (UTP) .

В дополнение к стандарту EIA/TIA 568 существует документ DIS 11801, разработанный International Standard Organization (ISO) и International Electrotechnical Commission (IEC) . Данный стандарт использует термин “категория” для отдельных кабелей и термин “класс” для кабельных систем.

Необходимо также  отметить, что требования стандарта EIA/TIA 568 относятся только к сетевому кабелю. Но реальные системы, помимо кабеля, включают также соединительные разъемы, розетки, распределительные панели и другие элементы. Использования  только кабеля категории 5 не гарантирует  создание кабельной системы этой категории. В связи с этим все  выше перечисленное оборудование должно быть также сертифицировано на соответствие данной категории кабельной системы.

Системы электроснабжения

Наиболее надежным средством предотвращения потерь информации при кратковременном отключении электроэнергии в настоящее время  является установка источников бесперебойного питания. Различные по своим техническим  и потребительским характеристикам, подобные устройства могут обеспечить питание всей локальной сети или  отдельной компьютера в течение  промежутка времени, достаточного для  восстановления подачи напряжения или  для сохранения информации на магнитные  носители. Большинство источников бесперебойного питания одновременно выполняет  функции и стабилизатора напряжения, что - 18 является дополнительной защитой  от скачков напряжения в сети. Многие современные сетевые устройства - серверы, концентраторы, мосты и  т.д. - оснащены собственными дублированными системами электропитания.

За рубежом корпорации имеют собственные аварийные  электрогенераторы или резервные  линии электропитания. Эти линии  подключены к разным подстанциям, и  при выходе из строя одной них  электроснабжение осуществляется с  резервной подстанции.

Системы архивирования  и дублирования информации

Организация надежной и эффективной системы архивации  данных является одной из важнейших  задач по обеспечению сохранности  информации в сети. В небольших  сетях, где установлены один-два  сервера, чаще всего применяется  установка системы архивации  непосредственно в свободные слоты серверов. В крупных корпоративных сетях наиболее предпочтительно организовать выделенный специализированный архивационный сервер.

Хранение архивной информации, представляющей особую ценность, должно быть организовано в специальном  охраняемом помещении. Специалисты  рекомендуют хранить дубликаты  архивов наиболее ценных данных в  другом здании, на случай пожара или  стихийного бедствия.

Защита от стихийных  бедствий.

Основной и наиболее распространенный метод защиты информации и оборудования от различных стихийных  бедствий: пожаров, землетрясений, наводнений и т.д. - состоит в хранении архивных копий информации или в размещении некоторых сетевых устройств, например, серверов баз данных, в специальных  защищенных помещениях, расположенных, как правило, в других зданиях  или, реже, даже в другом районе города или в другом городе.

Программные и программно-аппаратные методы защиты

Защита от компьютерных вирусов 

Вряд ли найдется хотя бы один пользователь или администратор  сети, который бы ни разу не сталкивался  с компьютерными вирусами. По данным исследования, проведенного фирмой Creative Strategies Research, 64 % из 451 - 19 опрошенного специалиста испытали “на себе” действие вирусов. На сегодняшний день дополнительно к тысячам уже известных вирусов появляется 100-150 новых штаммов ежемесячно. Наиболее распространенными методами защиты от вирусов по сей день остаются различные антивирусные программы.

Однако в качестве перспективного подхода к защите от компьютерных вирусов в последние  годы все чаще применяется сочетание  программных и аппаратных методов  защиты. Среди аппаратных устройств  такого плана можно отметить специальные  антивирусные платы, которые вставляются  в стандартные слоты расширения компьютера. Корпорация Intel в 1994 году предложила перспективную технологию защиты от вирусов в компьютерных сетях. Flash-память сетевых адаптеров Intel EtherExpress PRO/10 содержит антивирусную программу, сканирующую все системы компьютера еще до его загрузки.

Защита от несанкционированного доступа 

Проблема защиты информации от несанкционированного доступа  особо обострилась с широким  распространением локальных и, особенно, глобальных компьютерных сетей. Необходимо также отметить, что зачастую ущерб  наносится не из-за “злого умысла” , а из-за элементарных ошибок пользователей, которые случайно портят или удаляют жизненно важные данные. В связи с этим, помимо контроля доступа, необходимым элементом защиты информации в компьютерных сетях является разграничение полномочий пользователей.

В компьютерных сетях  при организации контроля доступа  и разграничения полномочий пользователей  чаще всего используются встроенные средства сетевых операционных систем. Так, крупнейший производитель сетевых  ОС - корпорация Novell - в своем последнем продукте NetWare 4.1 предусмотрел помимо стандартных средств ограничения доступа, таких, как система паролей и разграничения полномочий, ряд новых возможностей, обеспечивающих первый класс защиты данных. Новая версия NetWare предусматривает, в частности, возможность кодирования данных по принципу “открытого ключа” (алгоритм RSA) с формированием электронной подписи для передаваемых по сети пакетов.

В то же время в  такой системе организации защиты все равно остается слабое место: уровень доступа и возможность  входа в систему определяются паролем. Не секрет, что пароль можно  подсмотреть или подобрать. Для  исключения возможности неавторизованного  входа в компьютерную сеть в последнее  время используется комбинированный  подход пароль + идентификация пользователя по персональному “ключу” . В качестве “ключа” может использоваться пластиковая карта (магнитная или со встроенной микросхемой - smart-card) или различные устройства для идентификации личности по биометрической информации - по радужной оболочке глаза или отпечатков пальцев, размерам кисти руки и так далее.